Qualche settimana fa, alcuni ricercatori hanno iniziato a segnalare la presenza di un database di credenziali rubate liberamente scaricabile dal servizio di download Mega. Una paziente opera di riorganizzazione e analisi del contenuto compiuta da Troy Hunt ha rivelato che si trattava di un enorme database da oltre 770 milioni di indirizzi di email, accompagnati da una ventina di milioni di password. Il nome dato a quel database, Collection #1, era di cattivo auspicio perché lasciava intravedere la possibilità che ne arrivasse una seconda e, magari, una terza.
Come ci si aspetta, quindi, ieri è arrivata la seconda. Altri 2,2 miliardi di righe di credenziali, non è chiaro quante abbinate a una password, che hanno esposto un altro bel po' di utenti. Il database è stato scoperto dai ricercatori di Hasso Plattner Institute a Potsdam, in Germania, e sebbene moltissimi di quei dati fossero già noti, gli esperti hanno segnalato che ben 661 milioni di indirizzi non era presente nel primo Collection#1 e 750 milioni non erano presenti nel loro database di credenziali rubate.
Sulla qualità di questi dati si sa molto poco. Non è possibile risalire a quanti di quei dati siano troppo vecchi per poter essere usati ancora su uno o più siti, ma di sicuro i criminali che hanno messo le mani sul database sguinzaglieranno una serie di bot su Internet per provare a usarle e verificare quali siano ancora buone per prendere il controllo di qualche account.
La cosa migliore da fare, quando ci iscriviamo a un sito, sarebbe quella di attivare l'autenticazione a due fattori, ovvero la possibilità di entrare aggiungendo un codice ricevuto via sms o in altro modo alla solita combinazione di username e password. In questo modo, si evita completamente il rischio abbinato agli attacchi automatici che di solito diventano molto numerosi in seguito a grandi fughe di dati come quelle che stiamo vedendo in queste settimane.
Se non abbiamo la possibilità di usare l'autenticazione a due fattori, o non l'abbiamo attivata in tempi non sospetti, è una buona idea quella di cambiare le password dei servizi più importanti. A questo indirizzo, che corrisponde a un affidabile sito web dell'Hasso Platter Institute, si può verificare se uno o più dei nostri indirizzi mail era contenuto nella collection appena apparsa o esposto tramite altri mezzi.
© Riproduzione riservata